epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference_Nové stavební právo

Poslat článek emailem

*) povinné položky
9. 12. 2014
ID: 96164upozornění pro uživatele

Cloud computing a ochrana osobních údajů

V dnešní době se snad nenajde jediný člověk využívající moderní technologie, který by se nikdy nesetkal s pojmem cloud. Ještě před pár lety bylo využívání „cloudu“ privilegiem nadnárodních společností, nicméně v poslední době se cloud dostal do módy už i na lokální úrovni a je tak hojně využíván též menšími společnostmi, které se snaží následovat trend co největší flexibility. Co se ale za pojmem cloud vlastně skrývá a jaká s sebou přináší rizika?

 
 Dvořák Hager & Partners
 
Cloud je zkrácenina pojmu cloud computing. Zákonná definice cloud computingu nebo překlad tohoto termínu do češtiny neexistuje, takže je nutné si vystačit s obecným popisem obsahu této služby srozumitelným pro běžné uživatele. Jedná se o hosting, který uživateli umožňuje využívat zdroje, služby nebo aplikace uložené na serverech poskytovatele s obrovským výpočetním výkonem a úložným prostorem na Internetu, ke kterému se uživatelé připojují například pomocí webového prohlížeče. Uživatel tedy nemá data uložená na svém lokálním počítači a nemá zakoupené využívané programy, ale připojuje se na vzdálená zařízení poskytovatele, který mu tyto služby poskytuje a kterému za tuto činnost platí odměnu.

Ačkoli je cloud computing již pro některé subjekty nenahraditelným pomocníkem, který umožňuje využívat aplikace a programy, které by si uživatel nemohl z finančních důvodů dovolit sám pořídit, obnáší zároveň značná rizika zejména s ohledem na ochranu osobních údajů. S rozmachem cloud computingu v poslední době a tím zvýšeným množstvím dat, které se nachází „v oblacích“, se toto riziko nadále zvyšuje.

Zásadním kamenem úrazu, který uživatele stále překvapuje, je schéma odpovědnosti za zpracování dat. Ačkoli je uživatel, který si jako zákazník objednává od provozovatele služby cloud computingu, obvykle v pozici slabší smluvní strany, která je často nucena přijmout podmínky adhezní smlouvy, je to stále uživatel, který se nachází v pozici správce osobních údajů, což sebou nese nemalý objem právních povinností. Jak je to možné? Dle definice obsažené v zákoně č. 101/2000 Sb., o ochraně osobních údajů, je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Uživatel je tedy onou osobou, která se rozhodne využívat cloud computing z důvodu a za účelem, které ona sama určí. Uživatel je pak povinen dodržovat veškeré povinnosti, které pro něj z uvedeného zákona vyplývají, což v případě cloud computingu není občas jednoduché. Poskytovatel cloudových služeb je pak často „pouhým“ zpracovatelem osobních údajů.

Jak je uvedeno ve stanovisku pracovní skupiny pro ochranu údajů ke cloud computingu, což je nezávislý evropský poradní orgán ve věci ochrany údajů a soukromí, ze dne 1. července 2012 zákazník cloudových služeb by si měl vybrat takového poskytovatele, který zaručí soulad poskytovaných služeb s právními předpisy.

Základem pro výběr vhodného poskytovatele je dostatečná informovanost o formě poskytované služby a zajištění co největší kontroly nad osobními údaji v době, kdy se tyto údaje nacházejí v cloudu, k čemuž je často nutné zasáhnout do znění smlouvy navrhované poskytovatelem.

V souladu s ustanovením § 6 zákona o ochraně osobních údajů je správce povinen uzavřít se zpracovatelem, tedy poskytovatelem cloudu, smlouvu o zpracování osobních údajů. Tato smlouva musí mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. V případě cloud computingu je ale nutné se o obsah této smlouvy zajímat mnohem víc právě z důvodu výše uvedených rizik.

Zákazník by měl do smlouvy o zpracování osobních údajů zahrnout zejména ustanovení regulující vstup třetích osob do zpracování. Ve službách cloud computingu je totiž naprosto běžné, že dílčí zpracování osobních údajů provádějí subjekty odlišné od poskytovatele, tedy subdodavatelé. Součástí smlouvy mezi uživatelem a poskytovatelem by tak mělo být ujednání, dle kterého má uživatel buď právo přímo schvalovat případné subdodavatele, nebo navržené subdodavatele odmítnout ještě dříve, než se zapojí do řetězce zpracování. V případě, že k využití subdodavatelů nakonec dojde, je nutné si vymínit, že tito subdodavatelé budou dodržovat podmínky zpracování osobních údajů identické podmínkám ujednaným ve smlouvě o zpracování osobních údajů uzavřené mezi uživatel a poskytovatelem. Pro dodržení závazku poskytovatele zahrnout příslušné povinnosti do smluv se subdodavateli je vhodné poskytovatele „motivovat“ například smluvní pokutou, která ve správné výši zvýší jeho odhodlání vybírat si spolehlivé obchodní partnery.

Další zásadní otázkou, které by měl zákazník věnovat dostatečnou pozornost, je určení účelu zpracování osobních údajů. Kromě povinnosti uživatele cloudových služeb jakožto správce osobních údajů určit účel zpracování před zahájením samotného zpracování a o tomto účelu informovat subjekt údajů, tedy fyzickou osobu, k níž se osobní údaje vztahují, má uživatel povinnost zajistit, aby byl tento účel respektován též poskytovatelem. Množství dat od různých subjektů, které se v cloudu nachází, je pro poskytovatele nebo subdodavatele často velice lákavé a dochází tak k dalšímu (nezákonnému) zpracování údajů mimo účel vymezený uživatelem. Smlouva s poskytovatelem by tak měla obsahovat sankce ukládané poskytovateli nebo subdodavateli za porušení povinnosti pohybovat se v mezích účelu stanoveném uživatelem. Mimoto by měl poskytovatel zajistit izolovanost osobních údajů, aby nedošlo k jejich zpřístupnění osobám, u kterých není přístup nezbytný. Zaměstnanci poskytovatele nebo jiné osoby s ním spolupracující na správě systému by neměli mít širší přístup k osobním údajům, než je pro konkrétní jimi prováděnou činnost nezbytné.

Z podstaty cloudových služeb vyplývá, že se osobní údaje mohou nacházet na několika místech. Poskytovatel by měl uživatele informovat o tom, kde mohou být data umístěna, tj. ve kterých zemích, komu mohou být údaje dále předávány a v jaké zemi se příjemce údajů nachází. V případě předávání osobních údajů v rámci Evropského hospodářského prostoru nepodléhá předávání žádné speciální proceduře, nicméně v případě předávání údajů do třetích zemí je nutné zajistit odpovídající úroveň ochrany. Nedochází-li k předávání do země, se kterou má Česká republika uzavřenou mezinárodní smlouvu zajišťující potřebnou úroveň ochrany, nebo nejedná-li se o výjimku na základě rozhodnutí orgánu Evropské unie (nejčastěji ve formě aplikace standardních smluvních doložek), musí správce před předáním osobních údajů do třetích zemí požádat Úřad pro ochranu osobních údajů o povolení k předání.

Při využívání cloud computingu by měl uživatel stále pamatovat na jeho povinnosti vůči subjektům údajů. Správce je mimo jiné povinen předat subjektu údajů informaci o zpracování jeho osobních údajů, je-li o to subjektem údajů požádán, a zajistit blokování, provedení opravy, doplnění nebo likvidaci osobních údajů, nejsou-li zpracovávány v souladu se zákonem. Aby byl uživatel schopen plnit tyto povinnosti, je nutné, aby byla ve smlouvě o zpracování osobních údajů nastavena možnost této intervence, a to bez zbytečného odkladu.

Již při uzavírání smlouvy by měl uživatel pamatovat na případné ukončení spolupráce s poskytovatelem. Smlouva by měla obsahovat ustanovení o formě předání údajů zpátky uživateli tak, aby je mohl systematicky nadále využívat. Další otázky, které by neměly být ve smlouvě mezi uživatelem a poskytovatelem opomenuty, jsou zajištění výmazu údajů po uplynutí doby nezbytné pro jejich zpracování, detailní specifikace bezpečnostních opatření, forma předávání instrukcí poskytovateli, doložky o mlčenlivosti, zajištění zálohování dat a šifrování dat.

Z výše uvedeného vyplývá, že uživatele čeká při sjednávání smlouvy s poskytovatelem nelehký úkol. Poskytovatelé cloudových služeb sice mívají k dispozici obsáhlé smluvní vzory, nicméně často se jedná o překlady smluv užívaných ve Spojených státech amerických, které nereflektují požadavky evropského resp. českého práva. Uživatel by měl tedy při výběru poskytovatele cloudových služeb postupovat s velkou opatrností.


Jitka Stránská

Mgr. Jitka Stránská,
advokátka


Dvořák Hager & Partners, advokátní kancelář, s.r.o.

Oasis Florenc
Pobřežní 12
186 00 Praha 8

Tel.: +420 255 706 500
Fax: +420 255 706 550
e-mail: praha@dhplegal.com


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Jitka Stránská ( Dvořák Hager & Partners )
9. 12. 2014
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Problém nového zákona o odpadech – kam s vytřízenými zbytky?
  • DEAL MONITOR
  • Vícepráce aneb kdopak to zaplatí?
  • Městys: Městská versus obecní policie. Dočkáme se jednou konečně i „Městysové policie“?
  • Novinky z oblasti české a evropské regulace finančních institucí za měsíc prosinec 12/2020
  • K neférovosti jedné podmínky pro zánik stavebního úřadu podle návrhu nového stavebního zákona
  • Může shromáždění SVJ jednat prostřednictvím videokonferencí?
  • Advokátní kanceláře a marketing: Co funguje a čeho se vyvarovat?
  • K povinnosti zřídit transparentní účet po novele zákona o sdružování v politických stranách a v politických hnutích
  • Jak by v Německu vypadalo varování NÚKIB, aneb vše nejlepší k narozeninám!
  • Vodní nádrž jako objekt sloužící hospodaření v lese

Související produkty

Online kurzy

  • Blockchain
  • Právní formy sportovních organizací se zaměřením na spolky II. část
  • Právní formy sportovních organizací se zaměřením na spolky I. část
  • Ochrana osobních údajů
  • Bezpečnost osobních údajů
Lektoři kurzů
Mgr. Michal Nulíček, LL.M.
Mgr. Michal Nulíček, LL.M.
Kurzy lektora
Mgr. Ing. Bc. Jan Tomíšek
Mgr. Ing. Bc. Jan Tomíšek
Kurzy lektora
JUDr. Josef Donát, LL.M.
JUDr. Josef Donát, LL.M.
Kurzy lektora
JUDr. Tomáš Dobřichovský, Ph.D.
JUDr. Tomáš Dobřichovský, Ph.D.
Kurzy lektora
Mgr. Michaela Micková
Mgr. Michaela Micková
Kurzy lektora
JUDr. Martin Maisner, Ph.D., MCIArb
JUDr. Martin Maisner, Ph.D., MCIArb
Kurzy lektora
JUDr. Mgr. Filip Rigel, Ph.D.
JUDr. Mgr. Filip Rigel, Ph.D.
Kurzy lektora
JUDr. Daniela Kovářová
JUDr. Daniela Kovářová
Kurzy lektora
Mgr. Libor Zbořil
Mgr. Libor Zbořil
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Doručování v pracovním právu: Bude možné po čtrnácti letech konečně dát výpověď poštou?
  • Sleva z ceny a její (ne?)možná moderace
  • Problém nového zákona o odpadech – kam s vytřízenými zbytky?
  • Zeman: Jmenování Tůmy může vést ke zhoršení vývoje ekonomiky
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Možné alternativy úpravy styku nezletilého s rodičem při svěření nezletilého do péče druhého rodiče
  • Vláda o integraci do EU a účasti ve standardizační dohodě NATO
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Novinky v odpovědnosti statutárních orgánů obchodních korporací
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Vláda o integraci do EU a účasti ve standardizační dohodě NATO
  • Elektronický příjezdový formulář jako podmínka vstupu do ČR z rizikových zemí
  • Převod nevyčerpané dovolené podle novely zákoníku práce

Pracovní pozice

Soudní rozhodnutí

Nájem bytu

O vyúčtování úhrad za plnění poskytovaná s užíváním bytů lze hovořit a vyúčtování může přivodit splatnost nedoplatku plynoucího z tohoto vyúčtování jen tehdy, obsahuje-li...

Majetková podstata

Insolvenční zákon výslovně upravuje, jaké pohledávky a v jakém pořadí jsou v insolvenčním řízení uspokojovány, stejně jako způsoby jejich uplatnění. Výslovně v § 165 odst. 2...

Zpeněžování (exkluzivně pro předplatitele)

Žádné ustanovení insolvenčního zákona nebrání tomu, aby tam, kde je zvoleným způsobem oddlužení plnění splátkového kalendáře po dobu (nejdéle) 5 let, byl před vydáním...

Odměna advokáta

Podle § 71 odst. 2 zákona č. 182/1993 Sb., o Ústavním soudu, zůstávají pravomocná rozhodnutí vydaná na základě právního předpisu, který byl zrušen (s výjimkou rozsudku vydaného v...

Přípustnost dovolání (exkluzivně pro předplatitele)

Je-li předmětem řízení o odpůrčí žalobě insolvenčního správce požadavek na určení neúčinnosti plateb (uskutečněných bankovními převody) a (současně) požadavek na vydání...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

Nejčtenější články

Souběh podání výpovědi a okamžitého zrušení pracovního poměru

Při výkonu závislé práce se zaměstnanec může dopustit různých prohřešků proti pracovnímu právu s různým stupněm intenzity provinění. Zákoník práce rozlišuje mezi soustavným...

PRÁVNICKÁ FIRMA ROKU 2020 - VÝSLEDKOVÁ LISTINA

Společnost EPRAVO.CZ vyhlásila výsledky již 13. ročníku firemního žebříčku Právnická firma roku. Záštitu nad letošním ročníkem převzalo, stejně jako v minulých letech...

Zrušení daně z nabytí nemovitých věcí a změna zákona o daních z příjmů

Dne 26. září 2020 nabyl účinnosti zákon č. 386/2020 Sb., jímž se zrušuje zákonné opatření Senátu č. 340/2013 Sb., o dani z nabytí nemovitých věcí, a jenž mění další...

Fotografování na veřejně přístupných místech povoleno?

Fotografujete na veřejně přístupných místech nebo na veřejném prostranství? A je v tom vlastně rozdíl? V praxi se stále častěji setkáváme s dotazy týkajícími se problematiky...

Zajímavý posun soudní judikatury ve věci přezkoumávání rozhodčích nálezů jako exekučních titulů

Ústavní soud ve svém nálezu pod sp. zn. II.ÚS 3194/18 ze dne 1. 4. 2019 shrnul svoji dosavadní rozhodovací praxi a vyjádřil se k možnosti soudního přezkumu exekučních titulů v...

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů